信任

 

1.George利用所属域sales.abc.com内的账户登录

当用户在工作站A登录时，会由其所属域的域控制器DC1来负责验证George的用户账户与密码，同时发放一个 “Ticket.Granting.Ticket(TGT，索要凭证)”给George，以便让George利用TGT来获得一个用来与ServerA沟通的服务票据。

 

提示：可以将TGT视为 “通行证”，用户必须拥有TGT后，才可以索取服务票据。

   登录成功后，用户George开始访问共享文件夹//ServerA/tools内的文件。

 

2.工作站A会向本域域控制器DC1索取一个用来与服务器ServerA沟通的服务票据。

3.域控制器DC1检查其数据库后，发现ServerA并不在它的域内(sales.abc.com)，就会转向 “全局编录(global catalog)”，询问ServerA是位于哪一个子域内。 “全局编录”根据其数据库内的数据，得知服务器ServerA是位于子域mkt.abc.com内，并将这个信息告知域控制器DC1。

4.域控制器DC1得知ServerA是位于子域mkt.abc.com后，它会根据信任路径，通知工作站A去向 “信任域”abc.com的域控制器查询。

5.工作站A向域abc.com的域控制器DC2查询子域mkt.abc.com的域控制器。域控制器DC2通知工作站A去找域控制器DC3。

6.工作站A向域控制器DC3索取一个能够与ServerA沟通的服务票据。域控制器DC3发放服务票据给工作站A。

7.工作站A取得服务票据后，它会将服务票据传送个ServerA。ServerA读取服务票据内的用户身份数据后，会根据这些数据来建立访问令牌，然后将访问令牌传给用户。

 

从上面的流程可知，当用户要访问另外一个域内的资源时，系统会根据信任路径，依序跟每一个域内的域控制器沟通后，才能够取得访问令牌，并根据访问令牌内的SID数据来决定用户拥有何种权限。

 

 

 

信任类型名称	传递性	单向双向
父.子(Parent.child)	是	双向
树.根目录(Tree.root)	是	双向
快捷方式(Shortcut)	是	单向或双向
林(Forest)	是	单向或双向
外部(External)	否	单向或双向
领域(Realm)	是或否	单向或双向

 

“外部”信任

与winnt 4.0建立

领域信任

与非windows域建立